网页采用2个iframe组成,一个是左边的菜单,一个是菜单对应的页面。
每个页面都采用了对Session信息的判断来认证身份。
当单独在浏览器中打开Iframe 会因为没有Session数据而跳转到登陆页面。
当登陆后,然后在不改变选项卡的情况下,在地址中输入Iframe的地址则不会跳转到登陆页面,因为Session默认是关闭了此页面才失效,没有改变选项卡自然还存在Session数据,也就打开了Iframe页面。
但这样会暴露出Iframe的页面地址,会加大Sql 注入的危险性。如果不能打开Iframe ,自然用户用户只有login.aspx和index.apx两个页面的转换,无法进入Iframe 的地址去拼接Sql。
要防止用户打开Iframe页面,在Iframe页面中加入一段JS脚本就可以了: